雖然惡意軟體攻擊和大數據洩露通常會成為媒體的頭條新聞,但網絡釣魚詐騙更為常見,在許多情況下對公司構成嚴重威脅。除了用於竊取信用卡詳細信息,登錄憑據,社會安全號碼和其他個資之外,網絡釣魚詐騙還被廣泛用作惡意軟體和勒索軟體攻擊的入口點。網絡釣魚不僅會導致身份盜用,還會導致客戶數據和公司知識產權的遺失。當攻擊者參與魚叉式網絡釣魚攻擊,針對公司人員有針對性攻擊或冒充軟體即服務(SaaS)等企業平台時,風險為更大。在過去12個月中,69%遭受勒索軟體攻擊的組織表示,攻擊者通過電子信箱或社交媒體進行網絡釣魚獲取了對其網絡的訪問權限。 本週發布的追踪網絡釣魚活動趨勢的最新報告顯示,針對有品牌的網絡釣魚活動在上一季度一直在穩步增長: 該報告指出,網絡釣魚詐騙越來越多託管在 HTTPS 網站上,近一半的網絡釣魚網站現在都已使用安全協議。這些不會觸發Chrome 不安全標籤等機制的警告,並且其內容對於傳統AV解決方案是隱形的,也無法讀取其加密流量。 HTTPS對詐騙者很有吸引力,因激勵用戶認為瀏覽器地址欄中大肆吹噓的綠色表示安全或合法的網站。但事實上,任何網站,無論多麼危險,都可以獲得 SSL 證書。它們甚至可以通過 Comodo 和 Let's Encrypt 等服務免費提供。 SSL證書僅建立與用戶登陸的網站點的安全連接。並不保證網站不是為惡意的。 Phishing for Profit 釣魚如何獲利 對於任何網絡攻擊,網絡釣魚活動是一個很好的開始。讓我們看看為什麼它是壞演員中的一個受歡迎的原因 心理學上 正如古老的格言所說,任何電腦防禦策略中最薄弱的環節通常是在鍵盤和椅子之間;換句話說,利用人類心理學通常比利用技術系統更容易。即使是那些知道如何從惡意連結發現真正連結的人,也無法免受精心設計的網絡釣魚活動的影響。 使用社群工程技術,持久性和一些良好的初始偵察,網絡釣魚是攻擊者獲得入口點的合理可靠方式。詐騙者有自己的心理和技術。再加上某種時間壓力,例如 “黑色星期五” 或“ Cyber Monday” 等有季節性的跳樓大拍賣,或者來自假律師告知您的配偶提出離婚意外消息,這都是在統計上有利於攻擊者並讓受害者點擊的連結。 特別是在有針對性的魚叉式網絡釣魚活動中,訣竅就是要充分了解目標,以便知道 “按下按鈕” 的內容,並在精心設計的可靠來源中模擬中使用這些信息。 低風險,高回報 網絡釣魚受攻擊者歡迎的第二個原因是它是一種低風險,高回報的策略。雖然威脅者可以使用網絡釣魚來實現直接進入目標,但是這種技術更常被玩家使用,除了竊取憑據並在暗網上出售之外,使用比特幣和其他加密貨幣輕鬆接收無法追踪付款。由於許多人在多個站點上重複使用相同的登錄憑據,因此通過在線銷售敏感信息,網絡釣魚可以為參與牟取暴利的人帶來意外獎勵,其中單點登錄憑證可能會打開龐大的數據和訪問點。 模擬 眾所周知,通過書面溝通來驗證身份是很困難的。如果朋友進行視頻或打個電話,您可以立即識別出該線路的另一端是您的朋友。如果您收到來自朋友的簡訊,要求您查看連結或打開檔案,則事情要困難得多。繁忙中,總是有一些人會無意中點擊惡意內容,統計上來說,這是一種必然性。詐騙者知道這一點,就像任何類型的廣告一樣,獲得 “點擊通過” 都是一個了解你的觀眾並提供足夠數據的問題。 It Started With a Link 那麼網絡釣魚騙局如何運作?電子郵件是主要的,但不是唯一的誘因。 Facebook,Twitter 和 LinkedIn 等簡訊和社交媒體網站也被利用,但目標始終如一:讓受害者點擊連結,撥打電話或啟動其他一些會觸發的操作騙局。 許多網絡釣魚詐騙將試圖模仿受害者熟悉的商店,例如這個假的 Spotify 訂閱消息: 像這樣的訊息直接正中下懷正確的心理按鈕。收件人將對 “錯誤” 感到憤怒,並擔心收費,因此有強烈的動機點擊誘餌 “審核您的訂閱” 連結。 連結本身經常被操縱,以便在不經意下看起來看起來正常。但其中只有一個是真的,但有多少使用者可立即知道呢? 然後是 Homographic attacks,其中詐騙者使用 unicode 註冊網站,這些文字在視覺上類似於真實網站名稱中使用的 ASCII 。請比較這兩個unicode: \ u0430 \ u0440 \ u0440 \ u04CF \ u0435 \ u0061 \ u0070 \ u0070 \ u006C \ u0065 和他們的視覺上 “印刷” 形式,如下圖所示: 這兩種編碼就乍看之下類似,但電腦會以不同的方式讀取它們。如果第一個用於域名註冊,它實際上將指向與第二個完全不同的站點。 幸運的是,大多數現在的瀏覽器都能識別出這種類型的攻擊,但是最近一年中 Chrome,Firefox 和 Opera 都存在漏洞,這些漏洞能夠繞過這些瀏覽器的同形保護過濾器。 在最近的攻擊中,詐騙者使用 Google.com 的真實子域 sites.google.com 來託管網頁,然後將受害者重定向到惡意網站。 Reeling in the Catch 掉入陷阱中 一旦受害者被吸引住,該騙局可能涉及任何數量的詭計,從欺詐性技術支持詐騙到假電子郵件登錄頁面。一個常見的策略是告訴受害者他們需要更新他們的電子郵件帳戶,然後提供一個相當令人信服的假網站: 但是,檢查網站後台的代碼將會顯示它的真實身份是什麼:試圖竊取用戶的登錄憑據。用戶在虛假站點中輸入憑據後,代碼會將其重定向到真實站點。 針對企業的魚叉式網絡釣魚活動可能正在尋找工業或國家間諜活動的知識產權。例如,一家英國工程公司最近成為針對其海事技術秘密的魚叉式網絡釣魚活動的目標,可能是來自支持中國的APT小組。 How to Avoid A Scam 考量到危險,一個忙碌的人可以做些什麼來降低網絡釣魚詐騙的風險?這裡有一些提示: Take Control 確保已打開瀏覽器的反網絡釣魚首選項。 而使用者會取消此選項是很罕見的,惡意軟體在沒有用戶許可的情況下禁用它是很簡單可以做到的。 根據不同的瀏覽器,可以在不同的位置找到設定,及不同的名稱。對於 Chrome 和 Chromium瀏 覽器,它們通常屬於“進階”或“隱私”,並且會被稱為 “安全瀏覽” 或 “網絡釣魚和惡意軟件防護” 。 Firefox 的是在 “阻止危險和欺騙性內容” 設置,該設置位於 “ 隱私和安全 ” 下的 “ 選項 ” 頁面中。對於 Safari,請在 “ 選項 ” 的
“ 安全 ” 選項卡中選中 “ 訪問欺詐性網站時發出警告 ” 選項。 在您的電子郵件客戶端中,禁用自動加載存儲在遠程服務器上的圖像和外部內容。如果不這樣做,攻擊者就可以代替使用可點擊的圖像,而不是連結本身,並可以避免安全過濾器。並允許包含隱藏的圖像,以便在目標打開中毒的電子郵件時通知他們。 Take a Closer Look 電子郵件和其他郵件中的拼寫錯誤和語法錯誤始終是一個危險信號,因此養成仔細查看包含連結的電子郵件文本的習慣。將游標停在任何連結上,然後點擊它們以查看它們真正的位置。 養成不從電子郵件中點擊連結的習慣也是一個好方式。避免點擊連結或撥打要求個人資訊,信用卡號或帳戶密碼的電話號碼。並從瀏覽器中的書籤轉到頁面,或在搜索引擎中查找地址。同樣,請務必仔細檢查您要求通過網絡搜索或查看之前的信件來撥打的電話號碼。 Get with the Program 對於企業用戶,請考慮定期模擬網絡釣魚活動的員工培訓。使用像 SentinelOne 這樣的優秀的次世代 AV,它可以檢查加密的流量並強制執行防火牆控制來阻止已知的詐騙站點。 Be a Good Citizen 當然,如果發現網絡釣魚攻擊,請務必告知。您可以於 Federal Trade Commission(FTC)報告網絡釣魚,身份盜竊和其他詐騙,並告知相關組織欺詐是否欺騙合法網站。報告功能由 Apple,Google,Microsoft 和大多數其他主要供應商提供。您可以通過互聯網搜索“報告網絡釣魚到”和供應商名稱輕鬆找到其他供應商的相應頁面。 Comments are closed.
|
Categories
All
Archives
January 2021
|